Las pequeñas y medianas empresas son más vulnerables a los ataques porque las empresas de software, los proveedores de servicios en la nube y los fabricantes de tecnología cobran por funciones de seguridad que deberían ofrecerse en todos los niveles de servicio o no las ofrecen en absoluto.
A principios de este año, al menos 165 clientes del proveedor de servicios de datos Snowflake Según los expertos en ciberseguridad, la compañía no ha ofrecido una manera fácil de obligar a todos los usuarios a habilitar la autenticación multifactor. El año pasado, una organización sin fines de lucro no pudo detectar un ataque porque, entre otras razones, su nivel de licencia “E3” de Microsoft 365 no incluía funciones de registro disponibles para las organizaciones con el plan “E5” más caro. Quienes respondieron al incidente dijeron en ese momento.
Las empresas de software y los proveedores de servicios deben ofrecer funciones de seguridad eficaces como medida de seguridad en todos los niveles de servicio y no crear una brecha de ciberseguridad entre los “ciberpobres” y las empresas que pueden permitirse seguridad adicional, afirma Kymberlee Price, directora ejecutiva y cofundadora de Zatik. , un proveedor de experiencia en seguridad fraccionada dirigido a pequeñas empresas.
“Si los proveedores no cambian la forma en que fijan los precios de la seguridad, si no incorporan cinturones de seguridad en el modelo base, entonces la responsabilidad por el software es inevitable”, afirma Price.
Encontrar formas de proteger a los ciberdesfavorecidos (empresas y organizaciones que no pueden permitirse profesionales especializados en ciberseguridad o sistemas de seguridad costosos) se ha convertido en un esfuerzo crucial en todo el mundo. En 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) comprometidos a encontrar formas de ayudar a las organizaciones más pequeñasquienes generalmente no cuentan con presupuesto para tecnologías de la información, y menos aún para seguridad de la información. Los compromisos de seguridad pueden provocar fallas comerciales y Problemas importantes relacionados con el estrés para propietarios de pequeñas empresas.
Fortalecer la seguridad hasta las empresas más pequeñas es fundamental para promover la seguridad en todo el ecosistema empresarial, ya que las grandes empresas cuentan con pymes entre sus proveedores, contratistas y socios, afirma Saeed Abbasi, jefe de productos de investigación de vulnerabilidades en Qualys.
“Reforzar la ciberseguridad en las pymes es esencial para proteger sus activos y preservar ecosistemas empresariales más amplios, ya que estas pequeñas empresas suelen servir como eslabones en cadenas de suministro más grandes”, explica. “Además, los costos de la ciberseguridad proactiva son generalmente menores que las pérdidas potenciales por violaciones de datos. »
Ofrecer más seguridad por defecto
No es fácil definir la diferencia entre lo que debería ser un producto de seguridad completo y lo que debería ser una característica de seguridad, reconoce Price. Las funciones de inicio de sesión único, como las de Okta, obviamente se considerarían un servicio de seguridad, pero una función en otro producto para iniciar sesión en el SSO de Okta no debería requerir la compra de un nivel superior, explica Price.
“Si hay una innovación completamente nueva que revoluciona la forma en que funciona la seguridad… eso implicará costos de desarrollo y otros costos”, por lo que cobrar más por eso parece justo, dice. “Pero en este punto, muchas de estas características [are the equivalent of] cámaras de visión trasera, que eran una opción en el modelo LX cuando se lanzó, pero que ahora son estándar en los modelos básicos.
Entre las características de seguridad que a Price le gustaría ver: las empresas deberían tener la capacidad de exigir y monitorear la autenticación de dos factores en toda la empresa, la integración del inicio de sesión único debería ser una característica principal y controles de acceso basados en roles que separen a los usuarios administrativos y normales. Las funciones deberían ser la norma, dice. Además, las empresas deberían empezar a ofrecer pistas de auditoría en cada aplicación de forma predeterminada y la posibilidad de que un administrador revoque el acceso de los usuarios.
Para Snowflake, no se trataba de cobrar más por la autenticación multifactor, sino de no habilitar una característica por la que los profesionales de la ciberseguridad han abogado durante mucho tiempo. En la plataforma, las personas podían optar por la autenticación multifactor, pero el administrador de la empresa no tenía la autoridad para exigir seguridad para cada usuario de su organización, dijo Ofer Maor, cofundador y CTO de la empresa de respuesta a amenazas Mitiga, en una entrevista. el mes pasado.
“Snowflake no sólo requiere autenticación multifactor, sino que también hace que sea muy difícil para los administradores hacerla cumplir”, dijo. “A diferencia de otras plataformas SaaS, donde el administrador de un inquilino puede requerir autenticación multifactor para todos los usuarios del inquilino, esta opción no está disponible en Snowflake. La única forma en que el administrador puede intentar hacer cumplir esto es verificar manualmente a cada usuario en el sistema para ver si ha habilitado voluntariamente la autenticación multifactor y, en caso contrario, pedirle que lo haga. »
Snowflake y Microsoft ahora ofrecen funciones de seguridad solicitadas en sus plataformas: los administradores pueden solicitarlas MFA predeterminado para Snowflake a partir del 9 de julio y Microsoft cambió su política sobre el costo de la tala el año pasado, tras las críticas a sus licencias.
Haga que la ciberseguridad sea fácil y accesible en los niveles más bajos
Las pequeñas y medianas empresas a menudo no cuentan con su propio especialista en TI y mucho menos con un experto cualificado en ciberseguridad. Por tanto, es fundamental proporcionar una seguridad básica que sea fácil de usar. Hay que encontrar una manera de hacer que la seguridad sea accesible para todos los usuarios, afirma Narayana Pappu, director ejecutivo de Zendata, una empresa especializada en seguridad y cumplimiento de datos.
“Las PYMES normalmente carecen de experiencia interna en seguridad, no tienen los recursos para implementar o mantener una solución y, por lo general, están expuestas a riesgos de seguridad que pueden dejarlas fuera del negocio en caso de un incidente de seguridad”, explica. “Éstas son excelentes razones por las que es necesario contar con una buena seguridad a nivel de las PYME: en un mundo conectado, la fuerza de su eslabón más débil es siempre la misma. »
Si bien las últimas tecnologías de inteligencia artificial generativa y los modelos de lenguaje extendido (LLM) pueden brindar más seguridad para algunas empresas, su costo aún puede ser prohibitivo y estas capacidades rara vez se ofrecen en el nivel básico.
En cambio, las empresas de ciberseguridad y software deberían ofrecer una buena seguridad básica en cada producto en el nivel de servicio básico, dice Zatik’s Price, quien enfatiza que no está en contra de cobrar un poco más en todo el mundo para que esta característica esté disponible. Sin embargo, no debería haber ningún nivel en el que no se ofrezcan las medidas de seguridad más eficaces, afirma.
“Hoy en día no existe en el mercado ninguna versión de automóvil que no esté equipada con cinturones de seguridad”, explica. “¿Los cinturones de seguridad son gratuitos?” No, están incluidos en el precio del coche. » [Similarly,] “No estamos diciendo que toda la seguridad deba ser gratuita y sin costos. »